Bridge Windows 安全性
Tableau Bridge 应用以下安全性设计:
- 所有通信都是从私有网络防火墙后面发起的,因此不需要您管理额外的例外情况。
- Tableau Bridge 和 Tableau Cloud 之间传输的数据是加密的。
- 如果数据源或虚拟连接设置为使用 “Bridge(旧版)”计划,则数据库凭据使用 Windows 凭据管理器存储在计算机上。对于刷新计划,凭据将传递给选择用于执行刷新的客户端。
您可以在以下部分中找到有关 Bridge 安全性的更多详细信息。
传输安全性
注意:Tableau Bridge 使用端口 443 向 Tableau Cloud 发出出站 Internet 请求,并使用端口 80 进行证书验证。
Tableau Bridge 使用 WebSocket (wss://) 连接与您的 Tableau Cloud 环境建立安全的双向通信。WebSocket 连接是持久的,并协调 Bridge 和 Tableau Cloud 之间的数据上载。所有用户在建立连接之前都经过身份验证和授权,并且所有输入都被验证为来自 Tableau Cloud 的可信来源。
身份验证
Bridge 有两个主要身份验证点:Tableau Cloud 和私有网络数据。
如果客户端解除链接或者升级到新版本,则无需重新登录。在这种情况下,Bridge 使用在 Windows 凭据存储中本地保存的现有令牌。
如果客户端关闭,或者使用 Windows 任务栏上的“退出”选项,则需要重新登录并提供凭据。这会创建一个新的刷新令牌,并将其保存到 Windows 凭据存储中。
您可以检查凭据管理器中的令牌并检查 TABLEAU_CONNECTIONS_online.tableau.com 的通用凭据。
Tableau Cloud
若要连接到 Tableau Cloud,请通过 Bridge 客户端输入一个用户 Tableau Cloud 凭据。
1) 输入凭据之后,2) Tableau Cloud 将返回一个身份验证令牌。3) 该令牌使用 Windows 操作系统的凭据管理器存储在运行客户端的计算机上。Bridge 使用令牌来执行各种任务,例如下载数据提取的刷新计划令牌。
私有网络数据
若要访问私有网络数据,某些数据源或虚拟连接需要使用数据库凭据进行身份验证。根据内容的连接类型,客户端将采用以下方式之一处理数据库凭据:
对于使用刷新计划的实时连接和数据提取连接,数据库凭据会在请求时发送,并使用 TLS 1.2 连接。
对于使用 Bridge 旧版计划的数据提取连接,如果数据源需要数据库凭据,则必须直接在客户端中输入这些凭据。数据库凭据使用 Windows 操作系统的凭据管理器存储在计算机上。客户端按计划的刷新时间将数据库凭据发送到同样位于私有网络防火墙后面的数据库。
客户端支持通过基于域的安全性 (Active Directory) 和用户名/密码凭据来访问私有网络数据。
对私有网络防火墙的更改
Bridge 客户端要求 无 对私有防火墙的更改。之所以无需更改,是因为客户端只会建立到 Tableau Cloud 的出站连接。为了允许出站连接,客户端使用以下协议,具体情况视内容使用的连接类型而定:
对于使用刷新计划的实时连接和数据提取连接,使用安全 WebSockets (wss://) 协议。
对于使用 Bridge 旧版计划的数据提取连接,使用 HTTP 安全 (https://) 协议。
访问私有网络数据
与私有网络数据的连接由 Bridge 客户端代表 Tableau Cloud 发起。发起连接的进程取决于内容类型和连接类型。
对于包含实时连接或虚拟连接的数据源,客户端将使用安全 WebSockets (wss://) 1) 建立与 Tableau Bridge 服务的持久连接,该服务是位于 Tableau Cloud 上的客户端的一部分。客户端随后将等待来自 Tableau Cloud 的响应,之后 2) 发起针对私有网络数据的实时查询。客户端 3) 将查询传递到私有网络数据,然后 4) 使用同一持久连接返回 5) 私有网络数据。
对于包含使用刷新计划的数据提取连接的数据源,客户端将使用安全 WebSockets (wss://) 1) 建立与 Tableau Bridge 服务的持久连接,该服务是位于 Tableau Cloud 上的客户端的一部分。然后,客户端等待 Tableau Cloud 的请求,以获得新的刷新计划。当客户端收到请求时,2) 客户端使用数据源 (.tds) 文件的安全连接 (https://) 与 Tableau Cloud 联系。3/4) 然后客户端使用请求的作业中包含的嵌入式凭据连接到私有网络数据。客户端 5) 创建数据的数据提取,然后 6) 使用 Tableau Bridge 服务将数据提取重新发布到 Tableau Cloud。步骤 2-6 可以并行进行,以允许发生多个刷新请求。
对于包含使用 Bridge 旧版计划的数据提取连接的数据源,客户端 1) 使用安全连接 (https://) 与 Tableau Cloud 联系来查询新刷新计划和数据源 (.tds) 文件。如果 2) 此信息可用,3/4) 则客户端将在计划的时间使用存储的凭据连接到私有网络数据。客户端 5) 创建数据的数据提取,然后 6) 使用 Tableau Bridge 服务将数据提取重新发布到 Tableau Cloud。Tableau Bridge 服务是位于 Tableau Cloud 上的客户端的一部分。
转发代理筛选
为了确保只将数据传输到 Tableau Cloud,我们建议从 Bridge 客户端中对出站连接实现基于域的筛选(转发代理筛选)。初始出站连接后,通信是双向的。
Tableau Bridge 不支持直通式或手动代理身份验证。
以下列表包含部分限定的域名,Bridge 为出站连接使用这些域名:
- *.online.tableau.com
- *.compute-1.amazonaws.com,Amazon VPC 的公共 DNS 主机名,其形式为 ec2-<公共 ipv4 地址>.compute-1.amazonaws.com(适用于 us-east-1 区域)
- *.compute.amazonaws.com,Amazon VPC 的公共 DNS 主机名,其形式 ec2-<公共 ipv4 地址>.compute.amazonaws.com(适用于 us-east-1 外的所有其他区域)。
- (可选)*.salesforce.com,如果您的站点启用了带有 Tableau 身份验证(带有 MFA 的 Tableau)的多重身份验证 (MFA),并且您的环境正在使用阻止客户端访问其他必要服务的代理
- (可选)crash-artifacts-747369.s3.amazonaws.com,用于接收崩溃转储报告
- (可选)s3-us-west-2-w.amazonaws.com,用于接收崩溃转储报告
- (可选)s3-w-a.us-west-2.amazonaws.com,用于接收崩溃转储报告
- (可选)bam.nr-data.net,用于 New Relic 的 Web 分析
- (可选)Js-agent.newrelic.com,向,向 New Relic 发送性能数据